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SYSTEME INFORMATIQUE SECURISE 

L'invention concerns les systemes informatiques securis6s, con$us de 
fagon & avoir un niveau de security quantifiable (c'est-S-dire un niveau de 
detection de tout defaut de fonctionnement, qui est demontrable). Eile trouve une 
application particulidrement importante, bien que non exclusive, dans les 
installations de conduite automatique ferroviaires ou il est essentiel de d6tecter 
tout d6faut qui risquerait de provoquer un incident. 

On connaTt diverses techniques de s^curisation de systdmes 
informatiques. On utilise notamment la redondance, consistant a disposer en 
parallele plusieurs organes ayant une probability de defaillance commune trds 
faible inferieure & un seuil predefini. Une autre solution, qu'on peut qualifier de 
s6curite intrinsdque, utilise des composants et des sous-ensembles dont le 
comportement en cas de defaillance est connu et est tel que toute defaillance 
provoque une configuration de securite. 

De plus, la soctete MATRA TRANSPORT INTERNATIONAL a realise des 
systemes dont la security est obtenue en introduisant, dans rinformation 
numerique k traiter, une redondance telle que ia probability de defaillance non 
detectee soit inferieure a un seuil predefini. 

Cette solution a notamment ete mise en oeuvre dans un processeur code. 
Chaque information susceptible d'avoir une influence sur la s6curite est cod6e et 
un seul mode de codage est adopts sur tout le trajet de ('information au cours de 
son acquisition, de son traitement et de sa transmission. La security de 
I'information peut etre completee, si necessaire, par cryptage. 

Le principe du mode de securisation par codage, qui est mis en oeuvre par 
la soctete MATRA TRANSPORT INTERNATIONAL sous la marque DIGISAFE, 
est le suivant. 

La mise en oeuvre du principe peut s f 6carter des details de realisation qui 
seront decrits ensuite pour tenir compte de la technologie utiJis6e, 



Chacune des caracteristiques de chaque information entrante ayant une 
incidence sur la s^curite est protegee par un code. Les caracteristiques peuvent 
etre notamment : 

- une valeur et une identity (et eventuellement une date de limite de 
validity) ; ou 

- une donnee, une adresse et Eventuellement une sequence 
d'apparition. 

Le codage ajoute une redondance sur ('information a protyger. 

Avec une information numyrique utile contenue dans un le champ de n 
bits, le codage consiste a ajouter k bits de redondance pour former un mot cod6 
sur m bits tel que : 

m = n + k 

II y a done 2° mots possibles appartenant au code et (2 n+k - 2 n ) mots 
possibles qui n'appartiennent pas au code. 

La probability pour qu'un mot appartenant au code soit pris a (a place d'un 
autre (probability de non detection d'erreur) est done : 

p=1/2 k 

La puissance du codage est choisie pour atteindre le niveau de s6curite 
requis. Ainsi, pour obtenir une probability de 10 -12 , il faut que k so/t superieur d 
40. 

Pour que le code soit compatible avec Fensemble des operations 
algorithmiques, on a choisi un code arithmetique tel que toute valeur x soit 
representee par : 

X = A.x 

oCr A, cle du code, est un nombre premier. 

Toutes les operations arithmetiques conservent done la propriety que X 
est multiple de A. Les erreurs de calcul sont dytectes par la perte de divisibility 
par A. 

L'identity doit £tre protygee contre une erreur d'adressage qui risque de 
faire prendre une variable Y = A . y a la place de X = A . x puisque X et Y 
appartiennent au code. Le codage arithmetique par multiplication n'est pas 



suffisant pour d6tecter I'erreur. On 6carte la difficuJte en associant, a chaque 
variable x, un identificateur entier Bx strictement compris entre 0 et A, bornes 
exclues. x sera alors represents par : 

X* = A,x + B x 

La protection de la date n'est necessaire que si une variable evolue en 
fonction du temps. Si on souhaite garantir la fraicheur de i'information a chaque 
cycle de calcul, caract6rise par une date, la date est ajoutee au code de toute 
information variante. Ainsi x sera represents par : 

X tt =A.x + B x + D 

valeur identite date 
avec B x + D < A 

Le contrdle de la validity d'un r6sultat se fait alors par division entiere par 
A, On extrait 6ventuellement D du reste B x + D et on compare la partie B x avec 

la valeur attendue ; i'algorithme etant connu, la valeur du reste est previsible d6s 
fa conception. 

Le code peut etre plus etendu lorsque la protection recherchee est accrue. 

Cette architecture prSsente quelques inconvSnients et limitations. Comme 
elle exige des manipulations de code complexes, elle requiert des calculateurs 
dedies et des architectures optimisees, done fermees. Cependant elle a donne 
de trds bons resultats dans des systemes mettant en oeuvre des processeurs 
puissants, mats dont la securite interne est veritable a priori. Mais elle se prete 
mal a I'emploi des microprocesseurs recents qui comportent des memoires cache 
(ou ante-memoires) de donnSes ou de m6moire car leur utilisation necessiterait 
une analyse de security speclfique compiexe et n'assurant pas une s6curite 
absolue. De plus, il subsiste des scenarios rSsiduels du fait de la presence sur le 
meme microprocesseur des informations fonctionnelles et des constantes ou des 
operations de codage. II n'est en cons6quence pas possible d'exploiter toute la 
puissance de ce type de microprocesseur. 

Le document GB-A-2169114, auquel on pourra egalement se reporter, fait 
connaitre un systeme informatique ayant un processeur et un coprocesseur et 



traitant des donnees d'entree assoctees a des codes ; ces codes restent 
assoctes aux donn6es dans le processeur, ce qui alourdit la tache de ce dernier. 

^invention vise & ecarter les limitations ci-dessus et pour cela de retirer la 
charge du traitement numerique de securite au processeur en transferant 
Tensemble des traitements numeriques de securite vers un peripherique. Par 
ailleurs, on connaTtra ainsi parfaitement le niveau de securite obtenu. 

L'invention propose en consequence un systeme informatique comprenant 
au moins un processeur travaillant sous le contrfile d'un programme, qui peut 
etre permanent ou telecharge, travaillant sur des donnees d'entree associables £ 
un code et fournissant des donnees de sortie destinees £ etre transmises ou a 
etre appliquees a des organes de sortie, associables & un code, 

caracterise par un peripherique exterteur au processeur, relte au 
processeur pour recevoir au moins les codes des donnees d'entree, les 
op£randes et la nature de chaque operation etementaire effectuee par fe 
processeur ayant une architecture securitaire calculant un code d chaque 
operation 6!ementaire effectuee par le processeur et verifiant la bonne execution 
de tout ou partie du programme execute, tandis que le processeur n'effectue des 
calculs que sur les valeurs fonctionnelles de donnees codees. 

Dans certains cas, rl y aura verification du code du r^sultat & chaque 
operation, 

Le terme "operation" doit etre interpret* comme signifiant une operation 
arithmetique, mathematique, logique ou de contrdle, et non pas une instruction 
etementaire. Cette constitution n'impose aucune contrainte sur les caches de 
donnees ou de programme du processeur, puisque le processeur n'effectue que 
des calculs sur les valeurs fonctionnelles des donnees cod6es, et non pas sur les 
codes. 

Le p6ripherique report toutes les informations n^cessaires pour verifier, a 
Tissue de chaque operation effectu6e dans le systeme, si le code obtenu est 
correct et cela par des calculs arithmetiques simples. Dans le cas d'un transfer^ il 
suffit de verifier que le code est conserve. Dans le cas d'une operation faisant 
intervenir deux op6randes x et y ayant des codes Cx et Cy, un algorithme f 



stocke dans le pEripherique permettra de determiner le code Cz correct du 
resultat. Par exemple, pour une addition : 

Cz = f(CxX + CyY) 

Si k est le nombre de bits utile £ la representation des mots du langage et 
5 est tel que 2 k > A, on peut alors Ecrire A . x sous la forme : 

A . x = 2 k . x - r k (x) 

ou r* (x) est le reste de la division de 2 k . x par A et on peut ecrire une valeur X" : 

X" = 2 k . x + B K + D - r k (x) 
Cette representation permet de separer le code de la valeur non codEe : 
10 X" = X k + C x 

ou : Xk = 2 k . x reprEsente la valeur non codee de la variable, et 
C* represente la partie codee de la variable, 

A partir de cette representation, le processeur ne manipulera que les 
instructions ou les donnees non codEes X*. Le periphErique gerera les codes et 
15 leurs Evolutions avec les fonctions appIiquEes au codage et qu'il connaTt. 

A chaque instruction, le processeur transfere Hdentifiant (c'est-S-dire le 
"contenant", les valeurs fonctionnelles constituant un "contenu") des opErandes 
utilisees (par exemple I'adresse de la variable, qui peut Egalement etre 
conservee dans une "memoire miroir" du periphErique), ('operation effectuee et la 
20 valeur du resultat 

A partir de ces donnees, le periphErique calcule les Evolutions du code. 

On peut Ecrire schEmatiquement les operations sous la forme ci-dessous ; 



Processeur 



Peripherique 



programme et 
donn6es 

I ► identifiants et r6sultats , 

codes et fonctions 
de cod age 

mise a disposition 
d'une donn6e representant 
le code de I'ensembie 
du programme 

Le peripherique peut etre local ou distant. Le terme "systeme" pour la mise 
en securit6 du calculateur lui-meme ou du systdme informatique auquel il 
appartient designe non seulement des organes de traitement de reformation, 
mais aussi les dispositifs d'entree et sortie des informations dont le contenu est a 
s6curiser, 

L'architecture proposee supprime les contraintes liees a la security dans le 
choix du processeur (ou des processeurs) et de son systeme d'expioitation en 
temps rfeel (logiciel), II n'y a pas de perte de puissance notable de calcul en 
temps r6ei du processeur et toute erreur de traitement commfse £ la suite d'une 
quelconque defaillance materielle ou d'une intrusion dans les traitements est 
detectee. 

Les caracteristiques ci-dessus, ainsi que d'autres, apparartront rnieux & la 
lecture de la description qui suit de modes particuliers de realisation, donnes a 
titre d'exemples non limitatifs. La description se r^fere aux dessins qui 
Paccompagnent, dans lesquels : 

- les figures 1,2,3 sont des schemas montrant {'adaptation de Invention 
a divers systernes ; 

- la figure 4 est un schema montrant une constitution possible du 
peripherique de security. 



Le systeme montr6 en figure 1 comporte plusieurs calculateurs hotes 10a, 
10b, 10c, 10d, relies par un support de transmission 14, munis chacun d'un 
p6ripherique de securite 12a, 12b, 12c et 12d. Seuls les p6ripheriques des 
calculateurs 10c et 1Qd sont 6quipes pour la mise en securite des Entrees/Sorties 
E/S. On constate que le systeme est complement ouvert. 

Dans le mode de realisation de la figure 2, un seul p6ripherique 12 
implante sur le calculateur 10d, qui const'rtue calculateur hote, assure la s6curite 
de tout un systeme a quatre calculateurs (et non pas seulement du calculateur 
h8te). Ce periphdrjque peut assurer soit uniquement la security des traitements 
num6riques effectu6s dans les calculateurs, soit egalement la mise en securite 
des Entr6es/Sorties E/S du calculateur h6te. II peut aussi etre relte directement 
au support de transmission. 

Le calculateur hote est 6quipe d'un pilote de securite qui lui permet de 
diaioguer avec le periph6rique et les autres calculateurs representes, eux-mSmes 
6quipes d'un p&ipherique de securite, pouvant etre relies par n'importe quel 
support de transmission (bus des calculateurs, liaisons s6rie, radio, internet, etc.). 

Dans le systeme de la figure 3, le p6ripherique de securite 12 est relie a un 
ensemble de calcul classique 18 constitue d'une unite centrale ou d'un 
processeur 20 et de pdripheriques classiques 22a, ... 22n. II comporte un ou 
deux organes de calcul, dont la securite est intrinseque (c'est-a-dire peut etre 
appr£ciee a priori) qui effectue a la fois : 

- les traitements num6riques de securite, 

- le traitement securitaire des entr6es-sorties. 

En cas de detection d'un dysfonctionnement externe ou interne par le 
periph6rique 12, les messages de validation des sorties s6curitaires ne sont plus 
6mis, et le systeme auquel appartient le dispositif est mis dans un etat particulier, 
sur, dependant des applications. 

Dans une variante, le p^ripherique 12 provoque seulement, en cas de 
detection d'un dysfonctionnement externe ou interne par le dispositif, la mise du 
systeme dans un etat particulier, sur, d6pendant des applications. 

II sera souvent avantageux de constituer le peripherique securitaire par un 
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ASIC (circuit integre duplication sp6cifique) realisant le traitement des 
operations securitaires et effectuant leur contrdle. En incluant un dispositif de 
controie dynamique (n'autorisant Tactivation de sorties s6curitaires qu'en 
presence d'un code coherent, dans la fonctionnalite du periph6rique de s£curite p 
5 les sorties de security sont inhib£es des ['apparition d'une anomalie dans le cod© 

de s6curite. 

Un periph6rique de s6curite est dgalement utilisabie, sous une forme qui 
sera alors generalement tres simple, pour fiabiliser les ^changes entre une carte 
& puce et un ou des calcuiateurs. 

10 Le periph6rique securitaire peut §tre implante dans la carte elle-meme 

(comme le permet un ASIC) et peut §tre associ£ aux calcuiateurs ou a Tun des 
calcuiateurs mis en jeu, pour garantir que les calculs et traitements effectu£s par 
la puce de la carte, et/ou par les calcuiateurs avec lesquels elle dialogue, soient 
exempts de toute erreur due & une defaillance materielle inopinee d'un organe du 

15 systeme mis en jeu ou d'une intrusion logicielle ou volontaire. 

On decrira maintenant de fa^on succincte une application de Pinvention & 
des equipements de conduite automatique de vehicules de transport collectif sur 
voie. Certains au moins de ces 6quipements doivent etre s6curitaires. Les 
besoins de securite peuvent alors itre resumes comme suit : 

20 

Communicati on : 

Toute erreur sur la partie utile d'une information securitaire d'un message 
s6rie commise entre la sortie d'une application securitaire et I'entree d'une autre 
application securitaire doit entrainer un "hors code*' de rinformation, c'est-£-dire 
25 une incoherence entre la partie utile et la partie redondante de cette information. 

Acquisition d'entrees et emission de sorties "tout ou rien" : 

"Tout ou rien h definit les entrees ou les sorties caracteris6es par T6tat 0 

ou 1. Une telle entree s6curitaire restreignant une operation doit entramer 
30 ('elaboration d'une variable d'entree codee sfgnifiant I'etat restrictif ou hors code. 

Une variable de sortie cod6e a I'etat restrictif ou hors code doit entramer un 6tat 



restrictif de la sortie "tout ou rien" correspondante. 
Securisati on des traitame rtfg : 

Toute erreur d'execution d'une operation elementaire entraTnant une erreur 
sur la partie fonctionnelle doit entraTner un "hors code" des variables de sortie 
concernees par cette operation elementaire. 

Contrfile de fraTrhaur • 

Chacun des besoins "securite" precedents exprime un comportement 
purement algorithmique, mais les comportements ne sont pas instantanes : ils 
ont un temps de reponse qui doit Stre borne en securite dans le cas du transport. 
Pour ce faire, le calculates peut etre rythme par une horioge securitaire qui 
cadence I'acquisition des entrees, les calculs codes et la commande des sorties. 
Pour ces trois etements, la securite est basee sur la date. Les messages serie 
(qui ne peuvent pas Stre dates) utilisent une heure "logique", au niveau du 
systeme, du fait de I'asynchronisme des calculateurs entre eux. Sa prise en 
compte fait partie du decompactage des messages ; pour tenir compte de ce que 
les informations doivent etre recentes, on peut prendre les mesures suivantes : 

• Toute derive de I'horioge cadencant le calculates au-dela d'un seuil provoque 
la mise en securite du systeme. 

• Tout message inter calculates juge trap vieux a la vue de son heure logique 
est ignore, ce dernier contrdle etant effectue par le peripherique securitaire. 

Toutes ces operations peuvent etre effectuees par le peripherique de 
securite 12 dans le systeme montre en figure 2, qui est un schema de la partie 
embarquee sur un vehicule d'un equipement de conduite automatique. 

Le systeme montre en figure 4 comporte un calculates 18 incorporant un 
microprocesses 20 rapide, incorporant une memoire cache et utilisant un bus 
standard PCI 24 d'ordinateur personnel. Le peripherique de securite 12, qui sera 
generalement un ASIC permet d'exploiter pleinement les capacites d'un 
microprocesseur rapide. 

Un registre tampon 26 est prevu pour que le peripherique de securite 12 
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puisse exporter les operations 6Iementaires au fur et a mesure de ses 
possibilites afin d'exploiter pleinement les capacites du microprocesseur. 

Pour eviter que le registre 26 ne restitue en permanence un cycle complet 
ou une partie de cycle qu'il a memorise, des moyens non represents peuvent 
§tre pr6vus pour mettre le systeme dans un etat de security si cet ev6nement est 
detectable, par exemple par contrdle de la date. 

Le microprocesseur 20 constitue I'unite centrale qui assure Tensemble des 
fonctions du systeme. Elle est munie d'une interface serie 28 permettant de relier 
ie systeme a d'autres caJculateurs. 

Le systeme comprend encore un controleur dynamique constttu6 d'une 
partie numerique 30 reliee au bus 24 et d'une partie analogique 32. La partie 34 
est interfacee avec I'unite centrale 20 et avec la partie analogique 32 qui assure 
diverses fonctions : 

- fournir la puissance ndcessaire £ I'alimentation des sorties securitaires 
h partir des sequences elabor6es par la partie numerique 30, 

- couper en s6curite I'alimentation en cas de sequences incorrectes 
fournies par la partie 30, 

- contrdler la frequence des sequences d'entrte, c'est-a-dire la fraTcheur 
des informations. 

Les entries E et sortfes S du systemes sont reltees a fa partie 
analogique 30, Parmi ces entrees et sorties, certaines sont purement 
fonctionnelles et non $6curisee$. La figure 4 montre les interfaces 34 et 36 avec 
les entrees et sorties fonctionnelles reliees en chaTnettes a une premiere entree 
de la partie numerique 30, qui sera g6neralement constitute par une carte 
distincte d'une autre carte qui constitue la partie analogique 32. Les interfaces 38 
et 40 avec les entries et sorties securisees seront elles aussi groupees en 
chaTnettes, avec 6ventueliement une liaison avec le bus 24 pour transferer les 
informations permettant de verifier la validite des codes introduits par les 
interfaces. 



II 

Le systeme comporte egalement des liaisons avec des organes qui 
fournissent des informations utilisees par la partie numerique du contrdleur 
dynarnique. 

Les organes represents comprennent un capteur de deplacement 42 qui 
est relte par un interface 44 d'adaptation connecte au bus PCI 24. L'interface 
elabore ies signaux d'alimentation du capteur et transfere les informations rogues 
du capteur- Ces organes comprennent 6galement un sous-ensemble de 
communication avec des balises reparties le long de la voie, Ce sous-ensemble 
comporte une antenne 46 de communication avec les balises, un module 
analogique 48 de tele-alimentation (s'il s'agit de balises passives), de reception et 
de demodulation , et un interface 50 de contrdle et de datation. 

Au lieu d'etre pr6vu pour effectuer successivement les operations 
elementaires, le periph6rique de security peut §tre adapts a un fonctionnement 
en mode pipe-line, avec une structure a multiplexage temporel. II peut aussi 
comporter des structures parall&es permettant d'effectuer srmultan6ment 
plusieurs operations 6lementaires. 
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REVENDICATIONS 



1. Systeme informatique comprenant au moins un calculateur a 
processeur travaillant sous le contrfile d'un programme, travaillant sur des 
donn6es d'entree associables chacune a un code et fournissant des donn6es de 
sortie associables a un code, destinies a &tre transmises ou a etre appiiquees k 
des organes de sortie, caracterise par au moins un peripherique exterieur au 
processeur, reli6 au processeur pour recevoir au moins les codes des donnees 
d'entr6e, les operandes et la nature de I'operation de chaque operation 
elementaire effectuee par le processeur, ayant une architecture securitaire 
calculant un code a chaque operation elementaire effectuee par le processeur et 
v6rifiant la bonne execution de tout ou partie du programme execute, tandis que 
le processeur n'effectue des calculs que sur les valeurs fonctionnelles des 
donnees codees. 

2. Systeme informatique selon la revendication 1, dont le dit programme 
est permanent ou tei6charg6, 

3. Systeme informatique selon la revendication 1, dont le peripherique est 
unique et est associ6 a un calculateur hfite pour assurer la securite de tout un 
systeme & plusieurs calculateurs relies & un support de communication commun. 

4. Systeme informatique selon la revendication 3 t dont le calculateur h6te 
est equipe d'un pilote de securite qui lui permet de dialoguer avec le peripherique 
et les a litres calculateurs. 

5. Systeme informatique selon la revendication 1 , qui comporte plusieurs 

calculateurs h6te5 relics par un support de transmission et munis chacun d'un 
p<§riph6rique de securite, 

6. Systeme informatique selon la revendication 1, dont le p6riph£rrque de 
securite ou les peripheriques de securite ne font les operations de mise en 
securite que sur les entr6es/sorties de certains seulement des processeurs. 

7. Systeme informatique selon la revendication 1, qui comporte un 
peripherique de sfecurite unique, reiie a un ensemble de calcul constitue d'une 



unite centrale ou d'un processeur et de periph6riques, le dit p6riph6rique de 
securite ayant un ou des moyens de calcuf qui effectuent : 

- les traitements numdriques de securite, 

- un traitement securitaire des entrees/sorties. 

8. Syst&me selon la revendication 1, caracterise en ce que le dit 
p^ripherique de securite est pr6vu pour securiser un ensemble du systeme 
constitue par une carte a puce, un lecteur et un ou des calculateurs qui 
interviennent dans ie traitement et qui constituent le systeme et pour fabriquer les 
echanges entre la carte a puce et le ou les calculateurs, 

9. Systeme selon la revendication 1, dont le p6riph6rique securitaire est un 

ASIC. 



ABREGE DESCRIPTIF 



Le systeme informatique s6curis6 comprend au moins un calculates a 
processeur operant, sous le controle d'un programme, sur des donnees d'entree 
associables a un code et fournissant des donnees de sortie destinies a des 
organes de sortie. Un periph6rique s6curitaire, exterieur mais relie au 
processeur, est prevu pour recevoir au moins les codes des donnees d f entree, 
les op6randes et la nature de ^operation de chaque operation 6Iementaire 
realisee par le processeur, un code etant calcute £ chaque operation elementaire 
effectuee par le processeur afin de verifier la bonne execution de tout ou partie 
du programme execute. Le systeme est applicable aux processus de conduite 
automatique ferroviaire. 



